Resultado del Primer Reto Forense de La Comunidad DragonJAR

DragonJAR 336x280 Resultado del Primer Reto Forense de La Comunidad DragonJAR

Con más de 1000 descargas de la imagen correspondiente al Primer Reto de Análisis Forense Digital  de la Comunidad DragonJAR y luego de realizar la evaluación de los reportes entregados por los participantes, haremos público el resultado de estas evaluaciones.

forense1av9 Resultado del Primer Reto Forense de La Comunidad DragonJAR

Antes de comenzar queremos agradecer a todos los participantes de este primer reto y a todas las personas que realizaron la descarga del entorno virtualizado, esperamos que a “pesar” de que publiquemos los reportes entregados por los participantes, las demás personas se animen  a desarrollar las actividades propuestas.

Es necesario aclarar y realizar un resumen de lo que fue esta primera experiencia como desarrolladores/participantes de este primer reto forense de la comunidad. Pues de esta actividad depende la comprensión de los resultados presentados.

El escenario que se planteó fue el siguiente:

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Los objetivos y reglas del reto son los siguientes:

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

  1. Antecedentes del Sistema/Escenario
  2. Recolección de datos
  3. Descripción de la evidencia
  4. Entorno del análisis/Descripción de las herramientas
  5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
  6. Metodología
  7. Descripción de los hallazgos
  8. Huellas del comportamiento y de las actividades del sospechoso
  9. Cronología de las actividades del sospechoso
  10. Posibles víctimas del sospechoso
  11. Rastros del sospechoso
  12. Conclusiones
  13. Recomendaciones a los padres
  14. Referencias

Como se observa, las reglas y objetivos de este reto pueden resultar algo exigentes para tratarse de un primer reto y acercamiento a estas temáticas (aunque ya habían sido tratadas en profundidad en varios laboratorios de la comunidad), por lo tanto tratamos de no ser tan rigurosos en el proceso de evaluación, aunque esto no debería ser así, pues de ello depende la calidad de los analistas forenses y de la validez de la evidencia presentada por estos ante un Juez.

El número total de personas oficialmente registradas a participar en el reto fue 71, de los cuales solo 7 personas presentaron los reportes solicitados.

Como bien se explica en los objetivos del reto. Se libera un Snapshot (instantánea) de un sistema virtualizado en VMWare.

El primer objetivo por lo tanto será descargar la imagen, comprobar la integridad de los archivos y realizar la implementación/montaje del entorno de análisis (Más información>>)

Aunque no se especificó claramente la idea inicial es personificar el papel de un análisista forense, el cual y como primera medida obligatoria debe velar por la conservación de la evidencia. Por esto y aunque hayamos distribuido la imagen descargable y comprimida del entorno era obligatorio responder correctamente frente al proceso de cadena de custodia, en la cual se debe realizar los procedimientos científicos necesarios para generar mínimo tres copias de seguridad del sistema implicado, entre otras prácticas. (Más información >>)

Vulevo y repito, esta parte no fue especificada de la mejor manera por nosotros, pues damos por entendido que es el primer objetivo en todo análisis forense.

La idea es que en conjunto mejoremos todos, tanto nosotros como desarrolladores de los retos, como ustedes los participantes, por ello se ignoró en gran medida este primer objetivo de conservación de la evidencia. Aunque claro está, para el próximo reto sera indispensable presentar el registro de como fue llevado a cabo este proceso de tanta importancia en las tareas de análisis forense digital.

A excepcion de dos participantes, todos los demás reportes mostraron que contaban ya, como copia de seguridad, la imagen publicada por nosotros. Aunque el reto pretendía meter a los participantes en la escena donde llegaban a modo de allanamiento a la casa del implicado y debían realizar las copias necesarias del sistema.

Por lo tanto solo se evaluó la profundidad y exactitud del análisis demostrativo de las actividades que realizaba el implicado desde dicho computador.

Consideramos que una gran fuente de referencias y de ayuda fue el enlace a los resultados del 3 reto de informática forense de la UNAM, los cuales ofrecen unos perfectos ejemplos a seguir en materia de realización de análisis y reportes. Observamos como entonces solo unos pocos se apoyaron en estos invaluables recursos. Pues dichos reportes presentan de manera muy profesional lo que debería ser un reporte ejecutivo (gerencial) y un reporte técnico (académico).

Los resultados de las evaluaciones quedaron así:

Vuelvo y repito, para este primer resultado intentamos no ser completamente rigurosos en el proceso de calificación, pues tratamos simplemente de resaltar las buenas prácticas o técnicas presentadas por los concursantes.

No todos los informes pueden estar en el podio ganador, pero en reconocimiento a su trabajo y tiempo realizando el reto forense, vamos a hablar un poco de cada uno de los informes, comentando sus puntos a favor y en contra, para que en nuevas ediciones de nuestro reto forense corrigan sus errores y fortalezcan sus talentos (En orden de resultados -Pudium).

1 – Javier G.

  • PRO’s: Correcto uso del reporte ejecutivo para el objetivo del mismo. Muy detallado y acertado el proceso de análisis y resultados obtenidos.
  • CONTRA’s: Se hecha de menos el detalle técnico del proceso de preservación de la evidencia.

2 – Mario Alfonso Riaño Rojas

  • PRO’s: Buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. Correcto análisis cronológico de las actividades delictivas del implicado. Muy buenos resultados para tratarse de un primer análisis forense digital. Correcto y acertado procedimiento de preservación de la evidencia. Buen nivel de detalle descriptivo del sistema objetivo.
  • CONTRA’s: Se hecha de menos un poco más de detalle y acierto en el proceso de análisis de la evidencia.

3 – Manuel Antonio Meléndez Andrade

  • PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Completo y organizado reporte ejecutivo. Buenas conclusiones según los resultados obtenidos. El reporte técnico refleja muy buenos hallazgos, pero carece de los procedimientos utilizados para llegar a estos.
  • CONTRA’s: Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Aunque las conclusiones son buenas, no se detallan los procedimientos técnicos realizados para llegar a estos. (preservación de la evidencia, montaje del entorno de análisis, copia y análisis de datos volátiles, memoria ram, etc)

4 – Julián Sotos Sepúlveda

  • PRO´s: Se percibe que hubo buena documentación para la realización del análisis. El reporte ejecutivo reflejan unas buenas conclusiones del análisis. Correcto el uso descriptivo de como debería realizarse de adquisición de la evidencia. Buenas conclusiones. Buenas recomendaciones y compromisos a los padres y a los menores de edad/jóvenes.
  • CONTRA´s: No se detalla técnicamente el proceso de preservación de la evidencia. No se realizó análisis de memoria. El uso de la herramienta COFEE es de uso restrictivo a organismos policiales de algunos países. No se detallan las técnicas utilizadas para obtener la mayoría de resultados

5 – Seifreed:

  • PRO’s: Fue quien más información adjunta envío y documento cada instrucción con que obtuvo esta información. Se percibe que hubo buena documentación para la realización del análisis.
  • CONTRA’s: No realizó ningún tipo de análisis, se limitó a sacar información sin buscar realacion alguna entre ella y sin analizar en detalle los resultados obtenidos por estas. La mayor parte del reporte técnico se enfocó a verificar la integridad del archivo descargado (4 páginas), proceso que podría ser realizado de manera más óptima con el objetivo de documentar actividades más relevantes. No detalló el procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Tan solo se limita a mostrar como sería el proceso de generación de una imagen del sistema en GNU/Linux (Asumo que booteo el sistema desde un LiveCD GNU/Linux para realizar dicha copia). Muchas aplicaciones software pueden automatizar ese proceso de extracción de datos, generación de logs del sistema, etc… Pero el sentido de un análisis forense es verificar, análizar, detallar, organizar, y presentar estos resultados. No se realizó análisis de memoria.

6 – Víctor J.

  • PRO’s: Se percibe que hubo buena documentación para la realización del análisis. Buena la iniciativa de realización del copiado del sistema, pero esta se debe detallar más (herramientas, horario, firmas, copias de seguridad, etc.). Muy bueno el análisis con X-Ways Forensics, aunque solo se limitó a analizar para ADS.
  • CONTRA’s: Solo se entregó un reporte técnico y otro documento que no refleja los objetivos de un reporte ejecutivo. Se mencionan intentos fallidos de actividades. No detalló el procedimiento de preservación de la evidencia. No se realizó análisis de memoria.

7 – Henry Fernando Montalvan Celi:

  • PRO’s: Buena iniciativa y decisión de abordar un reto forense sin ningún tipo de experiencia en este campo. Se percibe que hubo buena documentación para la realización del análisis, pero no es recomendable copiar esa misma información en los reportes.
  • CONTRA’s: Solo envió un reporte ejecutivo, que a la vez parece más un reporte técnico incompleto, pues enumera las actividades relizadas a nivel técnico pero no en el detalle requerido. No detalló ningún procedimiento de preservación de la evidencia. Este informe asume que ya tiene copias ilimitadas con el archivo descargado. Cuando enumera hallazgos de actividades realizadas en el equipo implicado, no se detallan como se consiguió obtener dichos hallazgos. El reporte refleja que los análisis se realizaron en el sistema en ¨caliente¨ y como se mencionó anteriormente no se realizó copias de seguridad de la evidencia, por lo tanto se está alterando la evidencia. No es recomendado instalar software de terceros en el sistema objetivo. No se realizó análisis de memoria.

Listaremos algunas recomendaciones generales a raíz de todos los reportes presentados para este concurso,  las cuales deben ser tenidas en cuenta para la realización de los análisis y reportes de futuros concursos. Enumeraremos también los aciertos presentados por todos los reportes de los participantes de este primer concurso, los cuales servirán de guía a todos los interesados en estas temáticas y a futuros participantes de los próximos retos de análisis forense digital que se publicarán en el portal.

  • La presentación de los informes debe realizarse con buena ortografía y dejando de lado bromas o chistes que nada tienen que ver con la finalidad del reporte.
  • No se deben enumerar intentos fallidos de una u otra acción o actividad común para un analista forense. El objetivo es presentar en el informe ejecutivo los resultados finales de los procedimientos científicos realizados.
  • Es necesario siempre realizar la cronología de las actividades realizadas en el sistema.
  • Informar en detalle las características / antecedentes del sistema analizado.
  • Cuando se realizan análisis con herramientas de pago, estas deben estar debidamente licenciadas y adquiridas a sus proveedores.
  • Todo análisis forense está sujeto a unos objetivos planteados por los interesados, como pueden ser, demostrar el robo de información, el desprestigio por medio de internet, rastreo de correos electrónicos, recuperación de información, etc. Para este caso el objetivo era demostrar con pruebas contundentes que la persona que operaba dicho sistema realizaba actos criminales relacionados con la pedofilia. Por ende estos informes deben presentar dichas pruebas de lo contrario serán inefectivos pues no cumplen con el objetivo del reto.

Aunque no habíamos anunciado nada acerca de premiación a los dos mejores informes en el momento de plantear el reto, siempre teniamos presente recompensar de alguna manera a las personas que cumplieron con los objetivos del reto, por su esfuerzo y dedicación y por compartir su conocimiento con los demás.

Por ello decidimos entregar un premio a cada uno de ellos.

Javi G. - Libro: Análisis Forense Digital en Entornos Windows de Juan Garrido

portadaforense Resultado del Primer Reto Forense de La Comunidad DragonJAR

Mario Alfonso Riaño - Libro: Computer Forensics JumpStart de la editorial sybex

51oyd2brkgvlbo220420320 Resultado del Primer Reto Forense de La Comunidad DragonJAR

Nuevamente muchas gracias a todos los participantes de este primer reto forense de nuestra comunidad. Esperamos que los próximos tengan aún más acogida por parte de nuestros visitantes, pues esperamos publicar muchos otros retos con diferentes grados de dificultad.

Los ganadores pueden ponerse en contacto con nosotros con los mismos emails con los que se registraron, para acordar el proceso de envío de los premios.

Quienes estén interesados en realizar o continuar con el análisis de este reto puede hacerlo por medio del proyecto colaborativo de entrenamiento en seguridad Sec-Track, el cual viene publicando de manera colaborativa el paso a paso para realizar de la mejor manera el análisis.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Colaborador

La cuenta colaborar agrupa a todas las personas que des interesadamente han colaborado añadiendo contenidos de seguridad informática a La Comunidad DragonJAR y ayudando a la difundir más estas temáticas en nuestro idioma. si deseas ser un colaborador envía un mail a contacto (arroba) dragonjar.org y manda tu material.

Compartir este Artículo
  • Pingback: uberVU - social comments()

  • Dino

    Critica resultados Reto Forense Dragonjar Parte I By Dino.

    Por peticion del señor DragonJAR, inicio un proceso critico a los resultados del reto forense, y esta vaina empieza así:

    Definamos. Computación Forense
    “Es la aplicación de técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal”

    Ah vaina que si falto esto, puesto que no se siguió una metodología practica que garantizaran la veracidad y credibilidad de los resultados para la forensia. Posteriormente veremos de que hablo!!!

    Sigamos,
    Hagamos el ejercicio de traer a colación algunos principios de la Investigación Forense……

    “Evitar la contaminación:
    Para poder obtener un análisis veraz y certero la información debe estar lo mas estéril posible, al igual que en la medicina forense no se debe comprometer la evidencia de la investigación.

    Actuar metódicamente:
    El investigador debe ser responsable de sus procedimientos y desarrollo de la investigación, por lo tanto es importante que se documente claramente los procesos, herramientas y análisis durante la investigación. Así el investigador asegura la veracidad de la información y sirve como base para la resolución de casos similares en un futuro.

    Tener control sobre la evidencia:
    Debe mantenerse en custodia toda la evidencia relacionada con el caso y el investigador debe documentar cualquier evento que haya ocurrido con la evidencia mientras estaba en su poder. Quien entrego la evidencia, como se transporto, el acceso a la evidencia, etc. Estas son solo algunas de las preguntas que debe poder responder el investigador.”

    Cuantos de ellos crees que se cumplieron??? Al menos hubo esterilizacion de medios??? Se contamino la evidencia??? Se documento???

    Los invito a leer y analizar los Informes para hacer una retrospectiva de los mimos………

    Dejando de un lado la Academia entremos de manera general con lo que puedo observar de primera mano, en mi primera lectura a los informes que pude observar en días pasados!!! Facilitados por mi gran @migo Gordito Sedsy xD

    Yo diría que el Reto en realidad no esta mal planteado, pensaría que es la forma perfecta para emular un caso real. Como decía 4v4t4r, la idea (es lo que interprete) es ubicarse en la posición de un Investigador forense que se encuentra con una escena del crimen, y facilitar un Snap Shot fue el mecanismo perfecto para emularlo, y que se asemeja a una realidad. En el 90% de las ocasiones no hay respuesta a incidentes (First Responder), solo se detecta el incidente, se toman medidas correctivas y se pretende que las maquinas sigan en producción, por la falta de Cultura en procesos o mecanimos de respuesta a incidentes, o por que la operación de un negocio no puede parar o sencillamente por desconocimiento de causa de como proceder. E inician el proceso de investigación en muchos casos In Situ y Sistemas Muertos.
    He ahí el primer error cometido por los participantes, nadie se ubico en el rol de un Investigador Forense o Analista Forense solo se limitaron a descargar una imagen y abusar de ella!!!!. (Se contamino la evidencia, se vicio el proceso, se violo el debido proceso, la evidencia no es admisible etc,etc,etc, etc…………………….)

    A manera de información voy a enumerar los pasos que se deben seguir en una escena del crimen ( El investigador).

    Verificar su propia Seguridad
    Inventariar todo lo encontrado
    Fotografiar los Equipos
    Fotografiar las Conexiones entre Equipos
    Fotografiar las Pantallas
    Recolectar Información Volátil
    Desconectar la Conectividad
    Apagar las Computadoras
    Guardar la Evidencia
    Proteger la Cadena de Custodia
    Investigación en el Laboratorio

    Cuanto de esto se cumplió, se emulo, se comento, se tuvo en cuenta o simplemente fue registrado en la bitácora inicial o los documentos finales????? Hubo bitácora Inicial, se simulo la creación de una???

    Regla de ORO…. Todo debe ser documentado, se debe iniciar una bitácora de la Investigación…

    Continuando el proceso con base en lo anterior, a cuantos les dio por “Anclar cadena de custodia / Iniciar cadena de custodia”??? . O no tiene relevancia alguna???? De hecho en muchas ocasiones, se hace con un perito y un notario, etc,etc,etc. “GARANTIZAR QUE LA EVIDENCIA NO PIERDA SU INTEGRIDAD Y EN UN MOMENTO DADO SE CONVIERTA EN UNA PRUEBA ADMISIBLE”

    Para garantizar que lo que se tomara como evidencia fuera admisible y se respetara su integridad, confidencialidad y veracidad… ( La finalidad es que se convierta en una prueba admisible).

    De explicar al menos simulando la acción, o simplemente determinando que no hubo incautacion de equipos, embalaje y transporte y que estos son tomados como evidencias en producción!!. Y que mecanismos se utilizaron para tomar esta evidencia ???

    Aun me pregunto, que paso con la Información volátil???? Hubo, no hubo??? (Sistemas Vivos / Forensia de Host)

    Toda investigación, dentro de mi escaso conocimiento (al menos es lo que hacemos en una Investigación Forense), parte de una Investigación preliminar, en donde se hace la planeación de la Investigación Forense, como les hubiese servidor leer esto:

    http://www.dragonjar.org/metodología-básica-de-análisis-forense-parte-1-de-4.xhtml

    Sobre todo hago énfasis en estos puntos:

    En esta fase, realizamos una evaluación de los recursos, alcance y objetivos necesarios para realizar la investigación interna.
    Obtener por escrito la autorización para iniciar la Forense (Investigación de equipos). Acuerdos de confidencialidad.
    Documentarse de todas las acciones y antecedentes que preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el incidente y su respuesta al incidente. La cual determinara el curso de acción a seguir en la Investigación.
    Organizar y definir el Team de Investigación, estableciendo Limites, funciones y responsabilidades.
    Realice una Investigación preliminar (documente la) que le permita describir la situación actual, hechos, las partes afectadas, posibles sospechosos, gravedad y criticidad de la situación, infraestructura afectada, para lograr una compresión total de la situación actual del incidente y definir un curso de acción acorde a la situación.
    Identificar el Impacto y la sensibilidad de la informacion ( de clientes, financieros, comerciales, de Investigación y Desarrollo, etc)
    Analizar el Impacto de los negocios a traves de la investigación del Incidente. Como, tiempos de inactividad, costos de equipos afectados o dañados, perdida en ingresos, costos de recuperación, perdida de información confidencial, perdida de credibilidad e imagen, etc.
    SIN OBJETIVOS CLAROS, NAVEGAREMOS EN UN MUNDO DE INFORMACION, QUE SIN IMPORTAR LA aplicación DE ALTA TECNOLOGIA O TECNICA PROCEDIMENTAL, SI NO HAY CORRELACION CON EL DELITO (LOS OBJETIVOS DETERMINADOS) NO SIRVE PARA NADA LO QUE SE HIZO

    Por que traigo a colación esto???. Sencillamente, por que es como se debe iniciar y una síntesis de esto hace parte de los informes.

    Mocion de Orden…… (01:00 AM 2 Marzo de 2010)
    Y como mañana tenemos que sustentar un Informe para entregar un proyecto, dejo hasta aquí, pero de seguro continuare…. Por que aun faltan cosas por determinar y que se me quedan en la mente y garganta electrónica XDDD

    Bytes

    Dino

    Luego continuamos……

    PD: Se deben conjugar estas tres variables para el éxito “La tecnica procedimental+ Lo legal+Correlacion con el Delito”. Sin una de ellas no se consigue una prueba admisible y por lo tanto no hay delito que juzgar.

  • D7n0s4ur70
  • http://world-of-dino.blogspot.com Dino

    Hola,

    Continuando con esta labor, vamos asi:

    Para esta fase recomiendo:
    “RFC-3227 (Recolección y manejo de evidencias)”
    http://www.google.com.co/search?q=RFC3227&ie=utf-8&oe=utf-8&aq=t&rls=com.ubuntu:en-US:unofficial&client=firefox-a

    Algunos principios para recoleccion de evidencias a tener en cuenta:

    1.Capturar una imagen del sistema lo mas exacta posible
    2.Mantener notas detalladas
    3.Prepararse para testificar
    4.Minimizar los cambios en los datos que se van a recolectar

    Orden de volatilidad (Cosas a evitar)

    1.No cerrar el sistema hasta que se concluyan las pruebas
    2.No confiar en programas del sistema
    3.No usar programas que modifiquen la hora de acceso a los archivos

    Ahora si q hacer:

    Interpretar comandos en modo consola (cmd, bash)
    Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas (fport)
    Listar usuarios conectados local y remotamente al sistema (net user, whoami, etc)
    Informacion del sistema (systeminfo, Doskey)
    Obtener fecha y hora del sistema (date, time)
    Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que lanzaron (ps, pslist)
    Enumerar las direcciones IP del sistema y mapear la asignación de direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, etc)
    Buscar ficheros ocultos o borrados (hfind, unrm, lazarus)
    Visualizar registros y logs del sistema (reg, dumpel)
    Visualizar la configuración de seguridad del sistema (auditpol)
    Generar funciones hash de ficheros (sah1sum, md5sum)
    Leer, copiar y escribir a través de la red (netcat, crypcat)
    Realizar copias bit-a-bit de discos duros y particiones (dd, safeback, ghos, cain, bt, etc)
    Analizar el tráfico de red (tcpdump, windump)

    Utilizar herramientas conectadas con un shell remoto, o de SysInternals o como lo empezo a explicar 4v4t4r al dumpear o levantar una imagen de la memoria.

    Esta informacion la doy, debido a que la gente no tomo informacion de datos volatiles. O lo que se hizo altero la evidencia. De igual forma, no podemos pretender tomar la imagen en Vmware y asumir que es nuestro insumo de trabajo, se deben generar como minimo un segundo original (copia bit a bit) , y de este a su vez las copias que consideremos necesarias, chekar su integridad, eso si no olvidemos el proceso de esterilizacion de medios.

    Recuerden que estamos en la fase de Identificacion…………

    http://www.dragonjar.org/metodologia-basica-de-analisis-forense-parte-1-de-4.xhtml

    El producto final de esta fase, debe entregar un documento detallado con la informacion que permita definir un punto de inicio para la adquisición de datos y para la elaboración del documento final.
    Iniciamos la cadena de Custodia, llenando el formato correspondiente, iniciando una bitácora de los procesos que se llevan a cabo y el embalaje de la Evidencia. Determinar
    Quien?, Que?, Donde?, Por que? mantener una copia con la evidencia, Como?, Cuando?
    Quien es el primero en tener la evidencia?
    Donde, cuando y quien es el primero que tiene la evidencia
    Donde, cuando y quien examino la evidencia
    Quien va a tener custodia de la evidencia y por cuanto tiempo la tendrá
    Quien y como se embalo y almaceno la evidencia
    Cuando se realiza el cambio de custodia y como se realiza la transferencia

    Mocion de Orden ( 18:17 2 de Marzo de 2010)
    Voy pa’ clase, asi q por ahora hasta aquí llego

    Bytes

    Dino

  • diego

    Sin entrar en los detalles de metodologías de recolección de evidencias y demás, lo que realmente no me resulto interesante, es la utilización de herramientas de pago para realizar los análisis del miso. Creo que eso en mayor o menor medida aporta una cuota de falta de realidad para todo el personal que no sea “especialista forense” bueno es solo una opinión.

    Saludos.

  • Mario Alfonso

    Saludos…

    Me parece que todavia hay ciertos vacios que no se han aclarado..en primer lugar, no pude encontrar ningun rastro de algunos de los archivos TXT y otro XML del usuario sospechoso. Pero tampoco encontre ninguna herramienta de borrado seguro (al menos las mas conocidas).

    Tambien pienso que seria bueno publicar el resto de los informes de los otros participantes y asi todos puedan ver los distintos enfoques y aprender de los errores.

    hasta luego…

  • Pingback: Segundo Reto Forense de La Comunidad DragonJAR()

  • Pingback: Existe alguna forma de saber el historial de la conversaciones de windows mesenger.()

  • Alejandra

    Hola podrían proporcionar la documentación del ganador para ver como realizo su trabajo y tomarlo como una guía? Pero en otro servidor ya que 4shared esta teniendo problemas y no deja descargar, al menos no los archivos que ustedes compartieron.
    Muchas gracias.